TL;DR: El 4 de mayo de 2026, entre las 14:11:06 y las 14:12:18 UTC, la multifirma (multisig) de Tether envió 19 propuestas
addBlackListdirigidas a direcciones de Tron vinculadas al colapsado esquema Ponzi DSJ Exchange / BG Wealth Sharing, y las ejecutó todas en un único lote de transacciones. Total congelado: $38,430,800.62. Ventana de congelación promedio: 70 segundos. Escapes durante la ventana: cero. Es la mayor congelación de USDT en un solo bloque sobre Tron que tenemos registrada, 4,4 veces más grande que el lote más grande anterior. ZachXBT, quien coordinó la operación con Tether, Binance, OKX y las fuerzas de seguridad de EE. UU., afirma que el esquema en su conjunto movió más de $150M, con $92M lavados entre cadenas en la semana previa a la congelación. Total recuperado hasta ahora: ~$41,5M, alrededor del 28%.
A las 14:11:06 UTC del 4 de mayo de 2026, la multifirma de USDT en Tron empezó a enviar propuestas addBlackList dirigidas a billeteras controladas por un esquema Ponzi que se hacía llamar DSJ Exchange. Eran 19. Tres segundos después, las 19 estaban en la cadena, y 72 segundos después de que aterrizara la primera, todas habían sido ejecutadas. El lote bloqueó $38.4 millones distribuidos en 19 direcciones dentro de un único lote de transacciones.
En toda la historia de las inclusiones en lista negra de USDT en Tron, ningún otro lote coordinado se acerca. El siguiente más grande, ocho direcciones por $8.72 millones el 31 de marzo de 2026, no llega a la cuarta parte del volumen. Verificamos el resultado con dos canalizaciones de análisis distintas (Python con psycopg2 y Go con pgx/v5), que arrojaron cifras idénticas.
Los objetivos tenían un nombre: DSJ Exchange, también escrito DSJEX, la plataforma de trading que servía de fachada para un esquema Ponzi llamado BG Wealth Sharing. Según el detective on-chain ZachXBT, quien reveló la operación el 5 de mayo, la trama había movido más de $150 millones en depósitos desde 2025, y había drenado discretamente $92 millones a través de puentes entre cadenas y agregadores DEX en los siete días previos a la congelación.
Esto no fue una inclusión en lista negra rutinaria. Fue un cierre coordinado, en el que los firmantes de la multifirma de Tether actuaron junto con la seguridad de Binance, OKX y las fuerzas de seguridad de EE. UU., todos trabajando a partir de la investigación de ZachXBT. Del lado de Tron, cuando llegó el momento, todas las propuestas aterrizaron a la vez.
El cierre a nivel de bloque
La mayoría de las congelaciones de USDT en Tron se hacen una dirección a la vez. Un firmante de la multifirma envía una propuesta addBlackList, otros firmantes confirman, y una vez alcanzado el umbral (actualmente 2 de N), se ejecuta la congelación. En Tron, donde la latencia de la multifirma es corta, el intervalo típico es de unos 60 a 80 segundos. Ese intervalo, lo que llamamos la ventana de congelación, es la ventana que analizamos previamente y que fue aprovechada 449 veces para que escaparan más de $215 millones en fondos.
El 4 de mayo fue diferente en escala y sincronización, aunque no en duración: la ventana fue de 70 segundos, dentro de lo normal. Aquí están las 19 direcciones del lote principal, congeladas a las 14:12:18 UTC:
Total: $38,430,800.62 distribuidos en 19 direcciones, todas ejecutadas en el mismo lote de transacciones a las 2026-05-04 14:12:18 UTC.
Lo que nos dice la distribución
La Figura 1 representa las 19 direcciones del lote principal por monto congelado. Los $38.4 millones no se repartieron de manera uniforme: una sola dirección, TAQa4FZweNjbxq69adEhPnFQeKZqkN1pJa, contenía $9.43 millones por sí misma, alrededor de una cuarta parte del total.
Una mirada al flujo reciente entrante en esa billetera muestra el patrón de consolidación que cabría esperar cuando un operador está cosiendo pequeños depósitos en una única billetera de gasto antes de moverlos: entre las 07:19 y las 07:54 del 2 de mayo, cuatro transferencias por un total de $2.4 millones llegaron desde una única dirección alimentadora, TKPTe5J5NzXyscatzqVmjrjWPy4av3mjfr.
Las 18 direcciones restantes se dividieron en dos niveles claros:
- 11 billeteras en el rango de $2M: diez exactamente con $2,000,000.00 y una con $2,000,010.54
- 7 billeteras en el rango de $1M: cinco exactamente con $1,000,000.00, más $1,000,010 y $1,000,008.08
Ese tipo de estratificación con números redondos ($1M, $2M, $1M, $2M) es la firma de un operador manual que financia billeteras calientes en lotes fijos, en lugar de una distribución por contrato inteligente o un barrido automatizado. Alguien estaba rellenando billeteras a mano, probablemente antes de un pago que nunca llegó.
Los tres montos atípicos ($2,000,010.54, $1,000,010.00, $1,000,008.08) parecen rellenos del tipo “depósito-más-crédito-de-rendimiento”, donde la billetera se financió con un monto redondo y luego recibió un pequeño cargo o devengo de intereses. Dentro de un esquema Ponzi, esos microajustes suelen apuntar a una capa contable interna que imita el rendimiento, libros que se mueven en lugar de un producto real. Los montos son demasiado redondos para ser P&L de trading legítimo; son racionamiento.
Por qué cero escapes
Cubrimos en detalle el problema de la ventana de congelación en febrero. En las 8.310 congelaciones ejecutadas en Tron y Ethereum, 449 (el 5,4%) tuvieron al menos una transferencia saliente entre la presentación y la ejecución de la propuesta. Total escapado: $215,5 millones. Solo la cifra de 2025 fue de $141,7 millones.
La pregunta natural para el 4 de mayo es entonces cuántas de las 19 direcciones intentaron huir durante su ventana de congelación de 70 segundos. Ejecutamos la misma consulta a través de nuestras canalizaciones de Python y Go contra el conjunto de datos on-chain, y ambas devolvieron la misma respuesta: cero. Ninguna transferencia desde ninguna de las 19 billeteras durante los 69 a 72 segundos en que cada propuesta estuvo en cadena pero aún no ejecutada.
Estadísticamente, eso no es lo que cabría esperar. Una tasa histórica de escape del 5,4% predice que aproximadamente una de las 19 saldría corriendo; la tasa específica de Tron del 6,2% en 2025 predice un poco más. No ocurrió ninguna de las dos. Cuando 19 direcciones son golpeadas a la vez, el operador tiene que elegir cuáles drenar en 70 segundos, y el operador de DSJ no eligió ninguna.
Tampoco era realmente una opción elegir todas. Rescatar $38.4 millones en 70 segundos significaría difundir 19 transferencias separadas, firmar cada una y conseguir que se confirmaran dentro de la ventana de congelación. El tiempo de bloque en Tron es de unos 3 segundos, lo que deja un presupuesto de 23 bloques: factible para una o dos transferencias, no para 19. Incluso con transacciones prefirmadas y un firmante en caliente, estarías compitiendo con tu propio orden de nonce, las estimaciones de gas y los reverts de contrato a ese volumen.
El operador de DSJ no lo intentó. No hubo drenajes parciales, ni difusiones pendientes en los bloques relevantes, ni nada que pareciera un botón de pánico apretado. En nuestro análisis de los $215M, los escapes exitosos ocurrían normalmente entre 12 y 24 segundos después del envío de la propuesta, bien dentro de la ventana. Los operadores que escapan son operadores que vigilan en vivo; el operador de DSJ no lo estaba haciendo.
La Figura 2 expone la línea temporal de 14:11:06 a 14:12:18, con la ventana sombreada. Cada billetera permaneció intacta durante toda la ventana.
Hay algo que la cadena no puede decirnos: si el operador sabía que venía la congelación y decidió no luchar, o si el lote realmente lo pilló desprevenido. La traza solo muestra que nada intentó salir.
Detrás de los números: qué era DSJ
Las propuestas addBlackList no te dicen por qué se está congelando una billetera. El porqué vino de la revelación de ZachXBT, confirmada por advertencias paralelas de reguladores de al menos cinco jurisdicciones.
DSJ Exchange (DSJEX) era la fachada. BG Wealth Sharing era la capa de reclutamiento. Juntos, operaban lo que BehindMLM clasifica como un esquema Ponzi de “haz clic en un botón”: a los usuarios se les decía que depositaran USDT y luego pegaran “señales de trading” enviadas por WhatsApp, BonChat y Telegram en una plataforma de trading falsa que mostraba ganancias fabricadas.
El gancho prometía retornos diarios del 1,3% al 2,6%, cifras que al componerse duplican tu dinero en aproximadamente 60 días, y eso debió ser una señal de alarma. El reclutamiento se sostenía con comisiones de referidos por niveles múltiples. La credibilidad provenía de un CEO ficticio llamado “Stephen Beard” (no existe tal persona). La evasión venía de dominios rotativos: bg877.com, bg661.com, dsjex.net, dsj89.com, dsjex123.com, y al menos media docena de variantes.
Los reguladores lo vieron mucho antes que la acción on-chain. La Comisión de Valores de Alberta emitió una advertencia el 17 de febrero de 2026. El Departamento de Comercio de Utah le siguió el 10 de marzo. El DFI del estado de Washington advirtió el 10 de abril. El banco de reserva de Tonga emitió su propia alerta sobre la variante dirigida a la diáspora, ya que DSJ estaba reclutando activamente víctimas tonganas, neozelandesas y australianas. La Unidad de Inteligencia Financiera de Nauru hizo lo mismo, señalando que la aplicación de BG Wealth contenía malware que extraía datos de los usuarios además del daño financiero.
Ninguna de esas advertencias congeló un solo dólar.
Esa brecha merece cierto peso. Cinco jurisdicciones, la primera más de dos meses antes de la congelación, todas diciéndole al público que estas billeteras estaban vinculadas a una estafa, y ninguna de ellas tenía la autoridad unilateral para bloquear los fondos. La congelación de stablecoins queda fuera del perímetro regulatorio en el que operan la mayoría de los organismos de protección al consumidor, así que las agencias podían advertir pero no podían actuar on-chain.
Luego, el 2 de mayo, los operadores hicieron lo que hace todo Ponzi en colapso: inventaron una razón para exigir más dinero. Según el resumen de la estafa de IFW Global, a los participantes se les dijo que el proyecto estaba a punto de salir a bolsa y que tendrían que pagar un “impuesto” del 12% antes de que pudieran reanudarse los retiros. Los retiros ya estaban deshabilitados. Ese 12% era el bombeo final, una forma de exprimir el último rendimiento de víctimas que aún querían creer que la operación era real. Tether bloqueó las billeteras dos días después.
El dinero que ya se había ido
La cifra de $38.4 millones es más pequeña de lo que parece. La investigación de ZachXBT rastreó aproximadamente $92 millones moviéndose por la red entre el 27 de abril y el 3 de mayo, la ventana de siete días entre la advertencia de Washington y la congelación. La mayor parte salió por la puerta antes de que cualquier dirección del lote del 4 de mayo fuera marcada.
La ruta de enrutamiento reportada:
- Puentes entre cadenas, incluidos Bridgers, Butter Network y USDT0, para sacar valor de Tron y llevarlo a cadenas donde Tether no puede congelar unilateralmente
- Bucles de envoltura y desenvoltura con USDD para oscurecer el rastro a través de una stablecoin que Tether no emite
- Aterrizajes finales en direcciones de depósito de exchanges y billeteras agrupadas de OTC
Cada uno representa un tipo distinto de obstáculo para la recuperación. Los puentes añaden un retardo de finalidad más una cadena de destino donde el conjunto de herramientas de recuperación es distinto. USDD es una stablecoin algorítmica nativa de Tron; envolver hacia ella y volver a salir difumina el rastro sin abandonar la infraestructura nativa de Tron. Y una vez que los fondos llegan a exchanges o mesas OTC, la recuperación se convierte en un problema de proceso legal en lugar de uno on-chain.
El total recuperado hasta ahora, según ZachXBT, ronda los $41.5 millones. La congelación de USDT en Tron acaba de recorrer cuentas por $38.4 millones; los aproximadamente $3.1 millones restantes provinieron de acciones coordinadas por Binance, OKX y otras plataformas que mantenían rampas fiat vinculadas a la operación. Frente a los $150M+ que ZachXBT cita como volumen total de depósitos, esa es una tasa de recuperación de aproximadamente el 28%.
No es una gran cifra para las víctimas, pero tampoco es sorprendente. Para cuando un esquema Ponzi colapsa de forma visible, la mayor parte de lo que va a salir ya ha salido, normalmente semanas o meses antes, en el goteo lento de la rapiña del operador. La congelación que aterriza al final no es realmente una recuperación; es una contención. Los $92M no van a volver. Lo que la congelación logra es impedir que los siguientes $38.4M se les unan.
El margen plausible de mejora en casos como este está río arriba: canalizaciones más rápidas de regulador a emisor, clústeres de billeteras pre-etiquetados que puedan congelarse por lotes antes del colapso público. Nada de eso existía para DSJ. La congelación llegó solo después del colapso, lo que limitó lo que se podía salvar.
Por qué esta congelación fue más rápida que la mayoría
La ventana media de 70 segundos del 4 de mayo es rápida, pero no es récord para Tron. Hemos visto lotes de multifirma en Tron ejecutarse en menos de 3 segundos cuando los firmantes ya estaban alineados; un lote de 23 direcciones del 11 de marzo de 2026 promedió 2,7 segundos. Lo que hizo inusual al 4 de mayo no fue la ventana. Fue la simultaneidad.
Para entender por qué la simultaneidad importa más que la duración de la ventana, conviene mirar cómo reacciona normalmente un operador de Ponzi ante una congelación individual:
- Monitorea el contrato de la multifirma para detectar propuestas
addBlackListentrantes (algo que muchos operadores automatizan, ya que el contrato es público). - Cuando aterriza una propuesta dirigida a su billetera, tiene unos 70 segundos para difundir una transferencia saliente antes de la ejecución.
- Si está preparado, con transacciones prefirmadas listas y automatización vigilando el mempool, lo logra.
Eso es lo que vemos en los 449 escapes históricos. La mayoría de los operadores ejecutan scripts que auto-drenan al detectar la propuesta, y la tasa de escape sube cuando esos scripts están bien afinados. Es particularmente alta (6,2% en Tron en 2025) para operadores que ejecutan bots de drenaje activos.
El modo de fallo de esos bots es la parte interesante. Están construidos para manejar una dirección a la vez. Cuando 19 propuestas llegan en una ventana de 3 segundos, todas dirigidas a billeteras controladas por el mismo operador, la lógica de drenaje no escala: cada transacción de drenaje tiene que ser firmada, difundida y confirmada, y cada una compite con las demás por espacios en la misma secuencia de nonce del operador. La capacidad de firma está acotada, y 19 propuestas simultáneas superan ese límite sin importar el hardware ni qué tan bien escrito esté el script.
Llamémoslo una defensa por lote simultáneo: al saturar la capacidad de la ventana de reacción del operador, la multifirma cierra la ventana de congelación que existiría para cualquier dirección individual. La ventana no es más corta, simplemente es imposible de cruzar a ese volumen. La Figura 3 muestra la diferencia estructural entre una congelación de una sola dirección (que un bot de drenaje típico puede vencer) y un lote coordinado de 19 billeteras (que no puede).
El patrón de defensa depende de tres cosas:
- Firmantes de multifirma preposicionados, listos para confirmar en segundos en lugar de minutos, con la lista de direcciones predistribuida
- Envío coordinado, con todas las propuestas aterrizando on-chain en estrecha sucesión (3 segundos, en este caso)
- Completitud de la lista de direcciones, de modo que ninguna billetera sucesora obvia siga siendo utilizable después del lote
La coordinación de ZachXBT con Tether, Binance y OKX proporcionó las dos primeras. La completitud de la lista de direcciones es la parte que no podemos evaluar plenamente solo con datos on-chain.
Poniendo el 4 de mayo en contexto
Para clasificar lo que pasó, extrajimos cada lote de congelación de USDT en Tron donde una sola marca de tiempo de ejecución cubriera cinco o más direcciones, y los ordenamos por monto total. La consulta se validó cruzadamente en Python y Go.
| Rango | Fecha (UTC) | Direcciones | Total congelado | Ventana media |
|---|---|---|---|---|
| 1 | 2026-05-04 14:12:18 | 19 | $38,430,800.62 | 70.3s |
| 2 | 2026-03-31 20:57:15 | 8 | $8,724,744.65 | 74.6s |
| 3 | 2026-03-27 19:32:24 | 7 | $5,570,189.95 | 71.1s |
| 4 | 2026-03-31 20:57:18 | 7 | $4,171,169.54 | 74.1s |
| 5 | 2026-03-27 19:32:27 | 9 | $3,776,144.95 | 71.0s |
El lote de DSJ es 4,4 veces mayor que el récord anterior. En toda la historia de la congelación por lotes de USDT en Tron en nuestro conjunto de datos, que se remonta a 2020, ningún lote coordinado individual se le acerca.
Un marco más útil que la gráfica del titular: de los más de $1.29 mil millones congelados en USDT sobre Tron en lo que va de 2026, el lote de DSJ representa aproximadamente el 3% del volumen total anual en una sola ventana de tarde de 72 segundos, un operador, un esquema, una operación coordinada. Conforme pase el tiempo, este será el caso de estudio que los equipos de cumplimiento citarán cuando expliquen cómo se ve la congelación coordinada a escala.
Lo que muestra este caso
La mayor variable en la recuperación no es lo rápido que firme la multifirma, sino si la billetera tiene algo dentro cuando aterriza la propuesta. Para cuando aterrizó el lote del 4 de mayo, ya se habían lavado $92M en la semana anterior, así que la congelación bloqueó $38.4M, pero el techo de recuperación quedó fijado siete días antes. Una canalización de cumplimiento que se adelanta 7 días en la detección le gana a una canalización que recorta 15 segundos en la firma. Y la tasa de recuperación del 28% es aproximadamente el techo realista para operaciones tardías contra esquemas Ponzi: para cuando un esquema colapsa visiblemente, la mayor parte de lo que va a salir ya se ha ido, así que congelar después del colapso es contención, no recuperación. Las victorias están río arriba, en los meses en que las víctimas siguen depositando y el operador sigue raspando. El 4 de mayo fue la acción correcta; simplemente no fue el momento correcto para una mayor proporción de recuperación.
El lavado entre cadenas sigue siendo el agujero sin tapar. Los $92 millones que se movieron entre el 27 de abril y el 3 de mayo pasaron por agregadores DEX, tres puentes y un bucle con stablecoin envuelta. Los emisores de stablecoins pueden congelar en su cadena nativa, pero no pueden deshacer un tránsito entre puentes, así que la recuperación está limitada por cuánto del volumen lavado sale de la cadena emisora. Y aunque cinco jurisdicciones advirtieron sobre DSJ entre el 17 de febrero y el 27 de abril, ninguna de esas advertencias detuvo un solo dólar de salir. La gobernanza de stablecoins es donde ocurre la acción on-chain; todo lo demás es señalización. Los equipos de cumplimiento que tratan los avisos de los reguladores como disparadores en lugar de puntos finales atrapan operaciones antes.
El lote del 4 de mayo también expone un punto estructural sobre el diseño de la defensa. Enviar 19 propuestas en 3 segundos no solo ahorró tiempo a los firmantes, sino que saturó la ventana de reacción del operador de una forma que ninguna congelación de una sola dirección puede. Cuando se apunta a un clúster conectado, agrupar es una defensa en sí misma y no una mera comodidad de flujo de trabajo. La victoria está en la simultaneidad, no en la velocidad.
Una nota sobre Phalcon Compliance
Rastreamos cada propuesta de congelación ejecutada y pendiente en USDT sobre Ethereum y Tron en el Dashboard de USDT Freeze de BlockSec. Las 19 direcciones del lote principal están enlazadas arriba. Para los equipos de cumplimiento que necesitan alertas en tiempo real sobre propuestas de congelación dirigidas a billeteras de su cartera, incluida la ventana de congelación donde aún son posibles las transferencias de escape, el producto Phalcon Compliance ejecuta los mismos datos a través de una API de monitoreo.
Para DSJ, los datos siempre estuvieron ahí. La congelación aterrizó porque alguien (ZachXBT, en este caso) conectó el rastro de lavado de vuelta a una lista de direcciones limpia, y los firmantes de la multifirma estaban listos cuando llegó el lote. Esa coordinación es la parte que toma semanas de trabajo investigativo; la ejecución on-chain, una vez que tienes una lista limpia y firmantes alineados, es cuestión de segundos.